Deutsch
  • OTP-Bots
  • MFA
  • Authentifizierung
  • Sicherheit
  • Passwortlos

OTP-Bots: Was sie sind und wie man Angriffe verhindert

Erfahren Sie, was OTP-Bots sind, wie sie Einmalpasswörter mit realen Fällen ausnutzen, und Strategien, um Ihr Unternehmen vor diesen Cyberbedrohungen zu schützen. Dieser Leitfaden bietet umsetzbare Tipps für Fachleute in der Produktentwicklung und Unternehmensführung.

Ran
Ran
Product & Design

Mit der zunehmenden Abhängigkeit von Online-Diensten wurde die Multi-Faktor-Authentifizierung (MFA) zu einer entscheidenden Verteidigungslinie gegen Cyberangriffe. Unter den weitverbreiteten MFA-Elementen befindet sich das Einmalpasswort (OTP), ein temporärer, einzigartiger Code, der dazu dient, Konten vor unbefugtem Zugriff zu sichern. Doch OTPs sind nicht mehr so narrensicher, wie sie einst schienen. Eine neue Welle von Cyberkriminalität, die OTP-Bots beinhaltet, stellt ihre Wirksamkeit in Frage und stellt sowohl für Unternehmen als auch für Einzelpersonen eine ernsthafte Bedrohung dar.

Das Verständnis der Funktionsweise von OTP-Bots, ihrer Angriffsstrategien und Strategien zu ihrer Abwehr ist essenziell. Dieser Leitfaden wird die Mechanik hinter OTP-Bots aufschlüsseln und Ihrer Organisation umsetzbare Schritte zur Verstärkung der Sicherheit aufzeigen.

Was ist ein OTP?

Ein Einmalpasswort (OTP) ist ein einzigartiger, zeitbegrenzter Code für die einmalige Authentifizierung. Generiert durch Algorithmen basierend auf Zeitabgleich oder kryptografischen Berechnungen, bieten OTPs eine zusätzliche Sicherheitsebene für Anmeldungen oder Multi-Faktor-Authentifizierungssysteme (MFA).

OTPs können auf verschiedene Weise bereitgestellt werden:

  • SMS-Codes: Gesendet via Text- oder Sprachnachricht.
  • E-Mail-Codes: Direkt an das Postfach des Benutzers gesendet.
  • Authenticator-Apps: Lokal generiert durch Dienste wie Google Authenticator oder Microsoft Authenticator.

Angriffsobjekt von OTP-Bots.png

Ihre kurze Lebensdauer erhöht die Sicherheit, wobei app-generierte Codes typischerweise 30 bis 60 Sekunden und SMS- oder E-Mail-Codes 5 bis 10 Minuten gültig sind. Diese dynamische Funktionalität macht OTPs weitaus sicherer als statische Passwörter.

Doch eine entscheidende Schwachstelle liegt in ihrer Zustellung, da Angreifer Systemschwächen oder menschliches Versagen ausnutzen können, um sie abzufangen. Trotz dieses Risikos bleiben OTPs ein bewährtes und effektives Werkzeug zur Stärkung der Online-Sicherheit.

Welche Rolle spielen OTPs in der MFA?

Das Verständnis von Multi-Faktor-Authentifizierung (MFA) ist in der heutigen digitalen Landschaft entscheidend. MFA stärkt die Sicherheit, indem Benutzer ihre Identität durch mehrere Faktoren verifizieren müssen, was eine zusätzliche Schutzebene hinzufügt, um unbefugten Zugriff zu verhindern.

Ein typischer MFA-Prozess umfasst die folgenden Schritte:

  1. Benutzerkennung: So erkennt das System Benutzer. Es könnte ein Benutzername, eine E-Mail-Adresse, Telefonnummer, Benutzer-ID, Mitarbeiter-ID, Bankkartennummer oder sogar eine soziale Identität sein.
  2. Erster Authentifizierungsfaktor: Am häufigsten ist dies ein Passwort, kann aber auch ein E-Mail-OTP oder ein SMS-OTP sein.
  3. Zweiter Authentifizierungsfaktor: Dieser Schritt verwendet eine andere Methode als der erste, wie SMS-OTPs, Authenticator-App-OTPs, physische Sicherheitsschlüssel oder Biometrie wie Fingerabdrücke und Gesichtserkennung.
  4. Optionale dritte Authentifizierungsschicht: In einigen Fällen wird eine zusätzliche Schicht hinzugefügt. Zum Beispiel kann das Einloggen in ein Apple-Konto auf einem neuen Gerät eine zusätzliche Verifizierung erfordern.

MFA-Prozess

Dieser mehrschichtige Prozess erhöht die Sicherheit erheblich, da Angreifer jede Schicht überwinden müssten, um auf ein Konto zuzugreifen.

MFA verlässt sich typischerweise auf drei Kategorien von Authentifizierungsfaktoren:

Was es bedeutetVerifizierungsfaktoren
WissenEtwas, das du weißtPasswörter, E-Mail-OTPs, Backup-Codes
BesitzEtwas, das du hastSMS-OTPs, Authenticator-App-OTPs, Sicherheitsschlüssel, Smartcards
InhärenzEtwas, das du bistBiometrie, wie Fingerabdrücke oder Face ID

Durch die Kombination dieser Methoden schafft MFA eine starke Verteidigung gegen unbefugten Zugriff. Es stellt sicher, dass, selbst wenn eine Schicht kompromittiert wird, die Gesamtsicherheit des Kontos intakt bleibt und den Benutzern verbesserten Schutz in einer zunehmend vernetzten Welt bietet.

Was sind OTP-Bots?

OTP-Bots sind automatisierte Tools, die speziell darauf ausgelegt sind, Einmalpasswörter (OTPs) zu stehlen. Anders als bei Brute-Force-Angriffen verlassen sich diese Bots auf Täuschung und Manipulation und nutzen menschliche Fehler, Social-Engineering-Taktiken oder Systemschwachstellen aus, um Sicherheitsprotokolle zu umgehen.

Unter Betrachtung des häufigen Verifizierungsprozesses "E-Mail (als Identifikator) + Passwort (als erster Verifizierungsschritt) + Software-/SMS-OTP (als zweiter Verifizierungsschritt)" entfaltet sich der Angriff typischerweise in den folgenden Schritten:

  1. Der Angreifer greift auf die Anmeldeseite oder API der Anwendung zu, wie ein normaler Benutzer.
  2. Der Angreifer gibt die festen Anmeldeinformationen des Opfers ein, wie die E-Mail-Adresse und das Passwort. Diese Anmeldedaten werden oft aus Datenbanken mit durchgesickerten Benutzerinformationen erlangt, die online leicht käuflich zu erwerben sind. Viele Benutzer neigen dazu, Passwörter auf verschiedenen Plattformen wiederzuverwenden, was sie anfälliger macht. Zudem werden häufig Phishing-Techniken verwendet, um Benutzer dazu zu bringen, ihre Kontodaten preiszugeben.
  3. Mithilfe eines OTP-Bots fängt der Angreifer das Einmalpasswort des Opfers ab oder ruft es ab. Innerhalb des gültigen Zeitrahmens umgehen sie den zweistufigen Verifizierungsvorgang.
  4. Sobald der Angreifer Zugriff auf das Konto hat, kann er Vermögenswerte oder sensible Informationen transferieren. Um das Opfer daran zu hindern, den Bruch sofort zu entdecken, ergreifen Angreifer häufig Maßnahmen wie das Löschen von Benachrichtigungswarnungen oder andere Warnzeichen.

Nun wollen wir im Detail untersuchen, wie OTP-Bots implementiert werden und welche Mechanismen es ihnen ermöglichen, diese Schwachstellen auszunutzen.

Wie funktionieren OTP-Bots?

Hier sind einige der gebräuchlichsten Techniken, die von OTP-Bots eingesetzt werden, zusammen mit realen Beispielen.

Phishing-Bots

Phishing ist eine der häufigsten Methoden, die von OTP-Bots genutzt werden. Hier ist, wie es funktioniert:

  1. Der Köder (betrügerische Nachricht): Das Opfer erhält eine gefälschte E-Mail oder eine Textnachricht, die vorgibt, von einer vertrauenswürdigen Quelle zu stammen, wie ihrer Bank, einer sozialen Plattform oder einem populären Online-Dienst. Die Nachricht behauptet meist, dass es ein dringendes Problem gibt, wie einen verdächtigen Anmeldeversuch, ein Zahlungsproblem oder eine Kontosperrung, und drängt das Opfer, sofort zu handeln.

  2. Die falsche Anmeldeseite: Die Nachricht enthält einen Link, der das Opfer zu einer falschen Anmeldeseite leitet, die genau wie die offizielle Website aussieht. Diese Seite ist von Angreifern eingerichtet worden, um die Anmeldeinformationen des Opfers zu erfassen.

  3. Gestohlene Anmeldedaten und ausgelöste MFA: Wenn das Opfer seinen Benutzernamen und sein Passwort auf der gefälschten Seite eingibt, verwendet der Phishing-Bot schnell diese gestohlenen Anmeldedaten, um sich beim echten Dienst anzumelden. Dieser Anmeldeversuch löst dann eine Multi-Faktor-Authentifizierungsanforderung (MFA) aus, wie z.B. ein Einmalpasswort (OTP), das an das Handy des Opfers gesendet wird.

  4. Das Opfer täuschen, um an das OTP zu kommen: Der Phishing-Bot täuscht das Opfer dazu, das OTP einzugeben, indem es eine Aufforderung auf der falschen Seite anzeigt (z.B. „Bitte geben Sie den Code ein, der zur Überprüfung an Ihr Telefon gesendet wurde“). In der Annahme, dass es sich um einen legitimen Prozess handelt, gibt das Opfer das OTP ein und gibt dem Angreifer unwissentlich alles, was er braucht, um die Anmeldung beim echten Dienst abzuschließen.

Zum Beispiel, im Vereinigten Königreich werden Tools wie "SMS Bandits" verwendet, um raffinierte Phishing-Angriffe per Textnachrichten durchzuführen. Diese Nachrichten imitieren offizielle Kommunikation und täuschen Opfer, ihre Kontodaten preiszugeben. Sobald die Anmeldedaten kompromittiert sind, ermöglichen SMS Bandits Kriminellen, die Multi-Faktor-Authentifizierung (MFA) zu umgehen, indem sie den Diebstahl von OTPs initiieren. Alarmierend ist, dass diese Bots eine Erfolgsrate von etwa 80 % erreichen, sobald die Telefonnummer eines Ziels eingegeben wird, was die gefährliche Effektivität solcher Phishing-Pläne unterstreicht. Erfahren Sie mehr

Malware-Bots

Auf Malware basierende OTP-Bots sind eine ernsthafte Bedrohung, da sie direkt Geräte angreifen, um SMS-basierte OTPs abzufangen. Hier ist, wie es funktioniert:

  1. Opfer laden unwissentlich bösartige Apps herunter: Angreifer erstellen Apps, die wie legitime Software aussehen, z.B. Bank- oder Produktivitätstools. Opfer installieren oft diese gefälschten Apps durch irreführende Anzeigen, inoffizielle App-Stores oder Phishing-Links, die über E-Mail oder SMS gesendet werden.
  2. Malware erhält Zugriff auf sensible Berechtigungen: Einmal installiert, fordert die App Berechtigungen an, um auf SMS, Benachrichtigungen oder andere sensible Daten auf dem Gerät des Opfers zuzugreifen. Viele Benutzer, die sich der Gefahr nicht bewusst sind, gewähren diese Berechtigungen, ohne die wahre Absicht der App zu erkennen.
  3. Malware überwacht und stiehlt OTPs: Die Malware läuft heimlich im Hintergrund und überwacht eingehende SMS-Nachrichten. Wenn ein OTP empfangen wird, leitet die Malware es automatisch an die Angreifer weiter, wodurch sie die Zwei-Faktor-Authentifizierung umgehen können.

Ein Bericht enthüllte eine Kampagne, die bösartige Android-Apps zur Speicherung von SMS-Nachrichten einschließlich OTPs nutzt und 113 Länder betrifft, am stärksten betroffen sind Indien und Russland. Über 107.000 Malware-Proben wurden gefunden. Infizierte Telefone könnten unbemerkt für die Registrierung von Konten und das Sammeln von 2FA-OTPs verwendet werden, was erhebliche Sicherheitsrisiken darstellt. Erfahren Sie mehr

SIM-Swapping

Durch SIM-Swapping übernimmt ein Angreifer die Kontrolle über die Telefonnummer eines Opfers, indem er Telekommunikationsanbieter täuscht. Wie es funktioniert:

  1. Imitation: Der Angreifer sammelt persönliche Informationen über das Opfer (wie Name, Geburtsdatum, Kontodetails) durch Phishing, Social-Engineering oder Datenverstöße.
  2. Kontaktaufnahme mit dem Anbieter: Mit diesen Informationen kontaktiert der Angreifer den Telekommunikationsanbieter des Opfers, gibt sich als das Opfer aus und beantragt einen SIM-Kartenaustausch.
  3. Genehmigung der Übertragung: Der Anbieter wird dazu gebracht, die Telefonnummer des Opfers an eine neue SIM-Karte zu übertragen, die vom Angreifer kontrolliert wird.
  4. Abfangen: Nach Abschluss der Übertragung erhält der Angreifer Zugriff auf Anrufe, Nachrichten und SMS-basierte OTPs, die ihm ermöglichen, Sicherheitsmaßnahmen für Bankkonten, E-Mail und andere sensible Dienste zu umgehen.

SIM-Swapping-Angriffe nehmen zu und verursachen erhebliche finanzielle Schäden. Allein im Jahr 2023 untersuchte das FBI 1.075 SIM-Swapping-Vorfälle, die Verluste von 48 Millionen Dollar verursachten. Erfahren Sie mehr

Voice-Call-Bots

Voice-Bots nutzen fortschrittliche Social-Engineering-Techniken, um Opfer dazu zu bringen, ihre OTPs (Einmalpasswörter) preiszugeben. Diese Bots verfügen über voreingestellte Sprachskripte und anpassbare Sprachoptionen, die es ihnen ermöglichen, legitime Callcenter zu imitieren. Indem sie vorgeben, vertrauenswürdige Entitäten zu sein, manipulieren sie Opfer dazu, vertrauliche Codes am Telefon preiszugeben. Wie es funktioniert:

  1. Der Bot ruft an: Der Bot kontaktiert das Opfer und gibt vor, von ihrer Bank oder einem Dienstleister zu sein. Er informiert das Opfer über "verdächtige Aktivitäten", die auf ihrem Konto festgestellt wurden, um Dringlichkeit und Angst zu erzeugen.
  2. Identitätsüberprüfungsanfrage: Der Bot fordert das Opfer auf, seine "Identität zu überprüfen", um ihr Konto zu sichern. Dies geschieht, indem das Opfer aufgefordert wird, ihr OTP (das vom tatsächlichen Dienstanbieter gesendet wurde) am Telefon einzugeben.
  3. Sofortiger Kontoangriff: Sobald das Opfer das OTP bereitstellt, verwendet der Angreifer es innerhalb von Sekunden, um Zugriff auf das Konto des Opfers zu erlangen, oft um Geld oder sensible Daten zu stehlen.

Die Telegram-Plattform wird häufig von Cyberkriminellen genutzt, entweder um Bots zu erstellen und zu verwalten oder als Kundenbetreuungskanal für ihre Operationen zu fungieren. Ein Beispiel dafür ist BloodOTPbot, ein SMS-basierter Bot, der in der Lage ist, automatisierte Anrufe zu generieren, die den Kundensupport einer Bank nachahmen.

SS7-Angriffe

SS7 (Signaling System 7) ist ein Telekommunikationsprotokoll, das entscheidend für die Weiterleitung von Anrufen, SMS und Roaming ist. Es weist jedoch Schwachstellen auf, die von Hackern ausgenutzt werden können, um SMS, einschließlich Einmalpasswörtern (OTPs), abzufangen und Zwei-Faktor-Authentifizierung (2FA) zu umgehen. Diese Angriffe sind zwar komplex, wurden jedoch bei großen Cyberverbrechern zum Diebstahl von Daten und Geld verwendet. Dies unterstreicht die Notwendigkeit, SMS-basierte OTPs durch sicherere Optionen wie app-basierte Authenticatoren oder Hardware-Token zu ersetzen.

Wie stoppt man OTP-Bot-Angriffe?

OTP-Bot-Angriffe werden zunehmend effektiv und weitverbreitet. Der steigende Wert von Online-Konten, einschließlich Finanzkonten, Kryptowährungs-Wallets und sozialen Medienprofilen, macht sie für Cyberkriminelle zu lukrativen Zielen. Zudem hat die Automatisierung von Angriffen durch Tools wie Telegram-basierte Bots diese Bedrohungen auch für Amateur-Hacker zugänglich gemacht. Schließlich vertrauen viele Benutzer blind auf MFA-Systeme und unterschätzen, wie leicht OTPs ausgenutzt werden können.

Daher erfordert der Schutz Ihrer Organisation vor OTP-Bots die Stärkung Ihrer Sicherheit in mehreren Schlüsselbereichen.

Primäre Authentifizierungssicherheit stärken

Der Zugang zu einem Benutzerkonto erfordert das Überwinden mehrerer Schutzschichten, was die erste Authentifizierungsschicht entscheidend macht. Wie bereits erwähnt, sind Passwörter allein sehr anfällig für Angriffe durch OTP-Bots.

  • Soziale Anmeldung oder unternehmensbezogenes SSO nutzen: Verwendet sichere Drittanbieter-Identitätsanbieter (IdPs) für die primäre Authentifizierung, wie Google, Microsoft, Apple für soziale Anmeldung oder Okta, Google Workspace und Microsoft Entra ID für SSO. Diese passwortlosen Methoden bieten eine sicherere Alternative zu Passwörtern, die von Angreifern leicht ausgenutzt werden können.
  • CAPTCHA und Bot-Erkennungstools implementieren: Schützen Sie Ihr System, indem Sie Tools zur Bot-Erkennung einsetzen, um automatisierte Zugriffsversuche zu blockieren.
  • Passwort-Management stärken: Wenn Passwörter weiterhin verwendet werden, setzen Sie strengere Passwortrichtlinien durch, ermutigen Sie Benutzer, Passwort-Manager (z.B. Google Password Manager oder iCloud Passwords) zu verwenden, und verlangen Sie regelmäßige Passwortaktualisierungen für erhöhte Sicherheit.

Schlauere Multi-Faktor-Authentifizierung anwenden

Wenn die erste Verteidigungslinie durchbrochen wird, wird die zweite Verifizierungsschicht entscheidend.

  • Auf hardwarebasierte Authentifizierung umsteigen: Ersetzt SMS OTPs durch Sicherheitsschlüssel (wie YubiKey) oder Passkeys gemäß FIDO2-Standard. Diese erfordern physischen Besitz, sind widerstandsfähig gegen Phishing, SIM-Swapping und Man-in-the-Middle-Angriffe und bieten eine viel stärkere Sicherheitsstufe.
  • Adaptive MFA implementieren: Adaptive MFA analysiert kontinuierlich kontextuelle Faktoren wie den Standort des Benutzers, das Gerät, das Netzwerkverhalten und Anmeldeverhalten. Wenn zum Beispiel ein Anmeldeversuch von einem unbekannten Gerät oder einem ungewöhnlichen geografischen Ort stattfindet, kann das System automatisch zusätzliche Schritte verlangen, wie das Beantworten einer Sicherheitsfrage oder die Identitätsüberprüfung mittels biometrischer Authentifizierung.

Schulung der Benutzer

Menschen sind nach wie vor das schwächste Glied, daher ist Bildung oberstes Gebot.

  • Verwenden Sie klare Markenkennzeichnungen und URLs, um Phishing-Risiken zu minimieren.
  • Schulen Sie Benutzer und Mitarbeiter darin, Phishing-Versuche und bösartige Apps zu erkennen. Erinnern Sie Benutzer regelmäßig daran, OTPs über Voice-Calls oder Phishing-Seiten nicht zu teilen, egal wie überzeugend sie erscheinen mögen.
  • Wenn abnormale Kontoaktivitäten erkannt werden, benachrichtigen Sie Administratoren umgehend oder beenden Sie den Vorgang programmgesteuert. Audit-Logs und Webhooks können helfen, diesen Prozess zu unterstützen.

Authentifizierung mit speziellen Tools neu denken

Die Implementierung eines hausinternen Identitätsmanagement-Systems ist kostspielig und ressourcenintensiv. Stattdessen können Unternehmen Benutzerkonten effizienter schützen, indem sie mit professionellen Authentifizierungsdiensten zusammenarbeiten.

Lösungen wie Logto bieten eine leistungsstarke Kombination aus Flexibilität und robuster Sicherheit. Mit adaptiven Funktionen und leicht zu integrierenden Optionen hilft Logto Organisationen, der Entwicklung von Sicherheitsbedrohungen wie OTP-Bots einen Schritt voraus zu bleiben. Es ist auch eine kostengünstige Wahl, um die Sicherheit mit dem Wachstum Ihres Unternehmens zu skalieren.

Entdecken Sie die gesamte Palette der Fähigkeiten von Logto, einschließlich Logto Cloud und Logto OSS, indem Sie die Logto-Website besuchen:

Entdecken Sie Logto — Die beste entwicklerfreundliche CIAM-Lösung